我通过 pkcs11 openssl 引擎使用 HSM。
ENGINE_load_private_key()用于加载要使用的键。它工作正常,除了在生成密钥对之后:
为 HSM 生成新的密钥对后,ENGINE_load_private_key()仍返回旧密钥。
显然后来的调用ENGINE_load_private_key()不会从 HSM 读取密钥。相反ENGINE_load_private_key(),似乎返回了一些缓存值。
是否有某种方法可以强制 openssl 从 HSM 读取新密钥,而不返回 HSM 中不再存在的旧密钥?
这段代码用于解决问题:
static void print_public_key_via_openssl( const char* name )
{
ENGINE *e = ENGINE_by_id( "pkcs11");
if ( e )
{
if ( ENGINE_init( e ) )
{
EVP_PKEY* key = ENGINE_load_private_key( e, name, NULL, NULL );
if( key )
{
printf( "Public key:\n%s", public_key_to_str(key) );
EVP_PKEY_free( key );
}
ENGINE_finish( e );
}
ENGINE_free( e );
}
}
int main( int argc, char** argv )
{
...
// Load the key and print it to stdout
print_public_key_via_openssl( "slot_1-label_Private02" );
// Generate new key pair value.
system( "hsmtool --dump_key 2" );
system( "hsmtool --gen_key 2" );
system( "hsmtool --dump_key 2" );
// Load the key and print it to stdout
print_public_key_via_openssl( "slot_1-label_Private02" );
...
}
结果:HSM 中的密钥确实发生了变化,但 openssl 仍返回旧密钥:
Public key:
Public-Key: (256 bit)
pub:
04:da:6e:4a:5f:e8:80:e4:e8:07:b8:79:7c:62:f6:
57:78:91:c4:42:89:13:da:72:61:e7:69:07:51:84:
6a:a2:a2:74:7b:79:7b:31:74:1d:b0:74:16:d7:9f:
fa:fd:2f:12:34:b9:80:06:16:84:c0:a3:0a:46:27:
a5:90:30:38:c9
ASN1 OID: prime256v1
NIST CURVE: P-256
Key #2:
X : DA6E4A5FE880E4E807B8797C62F6577891C4428913DA7261E7690751846AA2A2
Y : 747B797B31741DB07416D79FFAFD2F1234B980061684C0A30A4627A5903038C9
Key #2:
X : D6321B2DAAC592DB1E06D43F674804D0107252012BBDD214A7BB519109DD5D6E
Y : 0315E667625CBECA08A1D61BD0087D20D888A41AAE0E28D8789B8BDC8F6D09FF
Public key:
Public-Key: (256 bit)
pub:
04:da:6e:4a:5f:e8:80:e4:e8:07:b8:79:7c:62:f6:
57:78:91:c4:42:89:13:da:72:61:e7:69:07:51:84:
6a:a2:a2:74:7b:79:7b:31:74:1d:b0:74:16:d7:9f:
fa:fd:2f:12:34:b9:80:06:16:84:c0:a3:0a:46:27:
a5:90:30:38:c9
ASN1 OID: prime256v1
NIST CURVE: P-256
一些程序将使用 HSM 中的密钥对。并且这些程序还主动使用其他密钥对进行 TLS。因此,重新启动进程不是解决方案。